安全模式
了解 WPA3 和增强型开放(Enhanced Open)安全模式的详细信息,包括密码、密钥管理以及其背后的特性,并提供最佳实践建议。
在日益互联的世界中,安全可靠的 Wi-Fi 通信成为必需。从家庭办公室到工业环境再到企业网络,Wi-Fi 已成为移动连接的关键部分。随着对 Wi-Fi 网络依赖的增加,安全性也在不断提升,以保护和确保敏感数据的隐私。
增强型开放(Enhanced Open)和 Wi-Fi 保护访问版本 3(WPA3)是由 Wi-Fi 联盟(WFA)推出的当前 Wi-Fi安全标准的最新进展,旨在解决其前辈 WPA2 和开放网络的弱点。安全模式部分旨在提供关于在 HPE Aruba Networking 部署中增强型开放和 WPA3 网络的见解,探讨关键组成部分、实际影响和最佳实践。还将讨论部署考虑因素和兼容性方面。
认证与密钥管理(AKM)
Wi-Fi 网络中使用的安全解决方案由 IEEE 802.11 标准和 Wi-Fi 联盟定义。每种安全协议都具有特定的认证与密钥管理(AKM)套件类型(编号)。
标准定义了 AKM 套件选择器,其格式为 OUI:N,其中 N 代表套件类型。基于标准的 AKM 由 OUI 00-0F-AC 表示。例如,WPA3-个人(wpa3-sae-aes)的套件选择器是 00-0F-AC:8。相关页面将 00-0F-AC:N 称为 AKM:N。
Wi-Fi 联盟(WFA)通过 AKM、密码套件和保护管理帧(PMF)组合定义安全认证。以下内容用于指示标准中定义的不同认证类型及其对应的 Wi-Fi 联盟认证计划标签:
| WFA 模式 | IEEE AKM | 描述 |
|---|---|---|
| WPA2-企业版 | AKM:1 | IEEE 802.1X 与 SHA-1 |
| WPA2-个人 | AKM:2 | 预共享密钥 (PSK) |
| WPA3-企业版 | AKM:5 | IEEE 802.1X 与 SHA-256 |
| WPA3-个人 | AKM:8 | 同步认证(SAE) |
| WPA3-企业 192位 | AKM:12 | 使用符合 CNSA 套件的密码和 EAP 方法的 IEEE 802.1X 结合 SHA-384 |
| 增强型开放 | AKM:18 | 机会主义无线加密 (OWE) |
| WPA3-Personal | AKM:24 | 依赖于 Diffie-Hellman (DH) 组的可变哈希算法的同时认证(SAE) |
Wi-Fi 联盟计划
本节详细介绍了由 Wi-Fi 联盟安全认证定义的规范。下一节将它们映射到 HPE Aruba Networking 在 AOS 中实现的安全模式。
增强型开放
Wi-Fi 联盟的增强型开放规范定义了以下内容:
- 基于 RFC 8110 中定义的 Opportunistic Wireless Encryption (OWE) 的增强型开放(AKM:18)
WPA3
Wi-Fi 联盟的 WPA3 规范定义了以下内容:
- WPA3-个人(AKM:8,Wi-Fi 7 使用 AKM:24)
- WPA3-个人过渡(AKM:2 + AKM:8)
- 仅支持 WPA3-企业 (AKM:5)
- WPA3-企业过渡模式(AKM:1 + AKM:5)
- WPA3-Enterprise 192位模式 (AKM:12)
对应的AOS安全模式
| Wi-Fi联盟模式 | AOS密钥管理 | AOS安全模式 (opmode) |
|---|---|---|
| 增强型开放 | 增强型开放 | enhanced-open |
| WPA3-Personal | WPA3-Personal | wpa3-sae-aes |
| WPA3-企业版 | WPA3-企业版(CCM 128) | wpa3-aes-ccm-128 |
| 未由 WFA 定义 | WPA3-企业版(GCM 256) | wpa3-aes-gcm-256 |
| WPA3-Enterprise 192-bit | WPA3-Enterprise (CNSA) | wpa3-cnsa |
6 GHz 频段的操作
Wi-Fi 6E 是将 Wi-Fi 6“扩展”到包括 6 GHz 频段的技术。在 6 GHz 频段扩展操作是一个摆脱一些在 2.4 GHz 和 5 GHz 频段操作时存在的遗留要求的机会。
Wi-Fi 联盟(WFA)决定要求 WPA3 或增强型开放(Enhanced Open)作为在 6 GHz 频段允许的最低安全模式。
在 6 GHz 操作中不允许使用的遗留安全模式包括:
- WPA2-Enterprise 或相应的过渡模式*
- WPA2-个人或相应的过渡模式*
- 开放、WPA 版本 1、TKIP 或 WEP
术语表
以下术语在各个安全模式部分中使用。如需更多信息,请参考下述来源。
- AKM – 认证与密钥管理
- BSS – 基本服务集
- CNSA – 商业国家安全算法
- DH – Diffie-Hellman
- 增强型开放 – 基于OWE协议的Wi-Fi联盟认证
- FT - 快速(BSS)切换,用于改善接入点之间的切换
- IEEE – 电气和电子工程师协会
- OWE – 机会主义无线加密
- MFP – 管理帧保护(见 PMF)
- MFPC – 管理帧保护功能
- MFPR – 管理帧保护要求
- PMF – 受保护的管理帧(见 MFP)
- PMK – 配对主密钥
- RSNE – 强固安全网络元素
- SAE – WPA3-Personal 使用的同步认证协议
- WFA – Wi-Fi 联盟
- Wi-Fi 6 – 基于 IEEE 802.11ax (HE)
- Wi-Fi 6E – 将 Wi-Fi 6 扩展到包括 6 GHz 频段
- Wi-Fi 7 – 基于 IEEE 802.11be(增强高速传输)
- WPA2 – Wi-Fi 保护访问版本 2
- WPA3 – Wi-Fi 保护接入第3版
来源与参考
- IEEE 802.11-2016
- IEEE 802.11-2020
- RFC 5759 – Suite B 证书和证书吊销列表(CRL)配置文件
- RFC 6460 – 传输层安全(TLS)的 Suite B 配置文件
- RFC 6379 – IPsec 的 Suite B 加密套件
- RFC 7268 – IEEE 802 网络的 RADIUS 属性
- RFC 8110 – 机会主义无线加密
- WPA3 规范版本 3.0
- WPA3 规范版本 3.1
- WPA3 规范版本 3.2
解码器环
安全模式 (opmode) | AKM | 哈希算法 | FT AKM | 密码套件 | 组管理 | PMF |
|---|---|---|---|---|---|---|
WPA3 个人 (1) 过渡模式已启用 (wpa3-sae-aes) | 2.4 / 5 GHz: AKM:2 AKM:8 6 GHz: AKM:8 | 2.4 / 5 GHz: SHA-1 SHA-256 6 GHz: SHA-256 | 2.4 / 5 GHz: AKM:4 AKM:9 6 GHz: AKM:9 | CCM-128 | BIP-CMAC-128 | 2.4 / 5 GHz: MFPR=0 MFPC=1 6 GHz: MFPR=1 MFPC=1 |
WPA3 个人 (1) 过渡模式禁用 (wpa3-sae-aes) | 2.4 / 5 / 6 GHz: AKM:8 | 2.4 / 5 / 6 GHz: SHA-256 | 2.4 / 5 / 6 GHz: AKM:9 | CCM-128 | BIP-CMAC-128 | 2.4 / 5 / 6 GHz: MFPR=1 MFPC=1 |
WPA2 企业 (2) (wpa2-aes) | 2.4 / 5 GHz: AKM:1 | 2.4 / 5 GHz: SHA-1 | 2.4 / 5 GHz: AKM:3 | CCM-128 | 不适用 | 2.4 / 5 GHz: MFPR=0 MFPC=0 |
WPA3 企业 (3) (wpa2-aes + MFP-R) | 2.4 / 5 GHz: AKM:5 | 2.4 / 5 GHz: SHA-5 | 2.4 / 5 GHz: AKM:3 | CCM-128 | BIP-CMAC-128 | 2.4 / 5 GHz: MFPR=1 MFPC=1 |
WPA3 企业 CCM 128 过渡模式已启用 (4) (wpa3-aes-ccm-128) | 2.4 / 5 GHz: AKM:1 AKM:5 (5) 6 GHz: AKM:5 | 2.4 / 5 GHz: SHA-1 SHA-256 (5) 6 GHz: SHA-256 | 2.4 / 5 / 6 GHz: AKM:3 | CCM-128 | BIP-CMAC-128 | 2.4 / 5 GHz: MFPR=0 MFPC=1 6 GHz: MFPR=1 MFPC=1 |
WPA3 企业 CCM 128 过渡模式禁用 (4) (wpa3-aes-ccm-128) | 2.4 / 5 / 6 GHz: AKM:5 | 2.4 / 5 / 6 GHz: SHA-256 | 2.4 / 5 / 6 GHz: AKM:3 | CCM-128 | BIP-CMAC-128 | 2.4 / 5 / 6 GHz: MFPR=1 MFPC=1 |
WPA3 企业版 GCM 256 (wpa3-aes-gcm-256) | 2.4 / 5 / 6 GHz: AKM:5 | 2.4 / 5 / 6 GHz: SHA-256 | 2.4 / 5 / 6 GHz: AKM:3 | GCMP-256 | BIP-GMAC-256 | 2.4 / 5 / 6 GHz: MFPR=1 MFPC=1 |
WPA3-企业 CNSA(192位) (wpa3-cnsa) | 2.4 / 5 / 6 GHz: AKM:12 | 2.4 / 5 / 6 GHz: SHA-384 | (6) | GCMP-256 | BIP-GMAC-256 | 2.4 / 5 / 6 GHz: MFPR=1 MFPC=1 |
wpa3-sae-aes使用 AKM:24 的配置在 AOS 中尚不支持。wpa2-aes通常不会与 PMF 一起部署,因为 WPA2 客户端不支持。- 将
wpa2-aes与所需的 PMF 配置一起设置,将移除 AKM:1(802.1X 与 SHA-1)并添加 AKM:5(802.1X 与 SHA-256),这实际上仅支持 WPA3。请查阅 WPA3-Enterprise 页面上的注意事项。 - 从 AOS 8.11 和 10.5 开始,支持 WPA3-Enterprise CCM 128 的过渡模式。过渡模式在 AOS 8.10 和 10.4 中对操作没有影响。
- WPA3-企业 CCM 128 及过渡模式启用时,在 AOS 8.11 和 10.5 版本开始,在 2.4 GHz 和 5 GHz 频段添加 AKM:5(802.1X 与 SHA-256)。当过渡模式被禁用时,不会广告 AKM:1(802.1X 与 SHA-1)。
- 没有与 CNSA 兼容的 FT AKM。
请参阅以下子页面以了解更多信息:
最后修改时间:2024年7月17日 (69ac269)